Задать вопрос
kissarat
@kissarat
Node.js

Возможен ли LAMP без root?

Допустим мы сконфигурирован некий дистрибутив так, чтобы он при загрузке по-умолчанию не позволял заходить пользователю root. Под root можно зайти только если запущено ядро со специальными параметрами. Или еще лучше - совсем другое ядро, без ограничений функционала. Т.е. при нормальном запуске оно будет усечено для большей безопасности. Прошу опустить обсуждения самой возможности такой настройки и запуска, а рассматривать только с т.з. прикладного ПО.
Возможно ли настроить нормальное функционирования LAMP (или nginx postgresql 9+ python 2.* и 3+) с учетом того, что сервер может быть недоступен раз в сутки на час для обслуживания, т.е. тогда он будет запускаться с root?
  • Вопрос задан
  • 2369 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
vvpoloskin
@vvpoloskin
Инженер связи
Ну да, из технических ограничений будет только невозможность повесить nginx на 80 порт. А так сами соберете пакеты с нужными префиксами и будете запускать бинари или скрипт самопальный сделаете для запуска.
Невозможность запуска на 80-м порту обходится либо через замену портов (proxy?) на другой машине, либо патчем в ядро.

Но вообще проверенным способом для таких действий является виртуализация - втыкаешь openvz какой-нибудь, на одной виртуалке будет сайт, на другой твои секретные данные.
Ответ написан
Fesor
@Fesor
Full-stack developer (Symfony, Angular)
сервер может быть недоступен раз в сутки на час для обслуживания,

кому нужен сервер с таким аптаймом? Если на время работ данные будут как-то мигрировать, то норм.
Ответ написан
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Вам бы на завод, велосипеды проектировать, такой потенциал пропадает. Технически настроить можно, практически не имеет ни малейшего смысла т.к. добавит геморроя к обслуживанию и ничего не добавит безопасности. Если очень хочется потрахаться, то вперед, а так есть много уже готовых рецептов и практик под различные случаи обеспечения безопасности. (Самые распространенные: песочница, контейнеры, виртуалки, selinux, .... )
Ответ написан
alexclear
@alexclear
A cat
Если честно, я вообще не понял вопрос.
Вы смотрели проект grsecurity? В нем можно настроить систему авторизации так, что root больше не будет суперпользователем. Если это цель - то вот она решается таким образом, с использованием надстроек над традиционным Unix'овским DAC.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы